Hakeri mogu koristiti govornu poštu za probijanje vaših mrežnih računa

Govorna pošta nudi mnoštvo pogodnosti za mnoštvo ljudi, no je li u ovom dobu e-pošte, razmjene tekstualnih poruka i društvenih medija još uvijek relevantna i potrebna?

Još uvijek može koristiti, ali prema ovom istraživaču sigurnosti, poštanski sandučić govorne pošte može se koristiti u druge zlonamjerne svrhe. Na primjer, možda resetiranje lozinki svih vaših mrežnih računa poput Googlea, Microsofta ili Applea? Zvuči nadareno, ali potpuno je moguće.

Pročitajte i pogledajte o čemu se radi u ovom napadu i što možete učiniti da se zaštitite.



Puškarnica za govornu poštu

Istraživač mobilne sigurnosti Martin Vigo nedavno je demonstrirao zastrašujuću rupu za govornu poštu na konvenciji DEF CON u Las Vegasu prošlog tjedna.




Pomoću nje haker može provaliti u vašu govornu poštu i resetirati lozinke za razne vaše internetske račune jednostavnom skriptu.

Razmislite o računima poput PayPal, Whatsapp, Netflix, eBay - gotovo svaki račun koji vam omogućuje resetiranje zaporke putem automatiziranog telefonskog poziva.

Vigo je rekao da je ranjivost glasovne pošte koju je iskorištavao poznata već duže vrijeme.

Kako dugo? Pa, rekao je da je ta slabost dokumentirana više od 30 godina, ali uprkos mogućnosti zlouporabe, do sada se nije pozabavio nijedan od četiri glavna prijevoznika.

Vaša govorna pošta je najslabija veza

Ovako to djeluje.




Budući da su pretinaci govorne pošte obično zaštićeni jednostavnim četveroznamenkastim sigurnosnim kodovima, haker može jednostavno pokrenuti brutalan softver da pogodi brojčani kôd za proboj i pristup porukama.


ipad pro savjete i trikove

Napadač, koji već ima vašu e-poštu i telefonski broj, tada može zatražiti zahtjev za lozinkom, ali odlučiti se za telefonski poziv s resetiranim kodom.




S drugom skriptu, haker može tada koristiti razne tehnike preplave poziva kako bi osigurao da svi vaši pozivi idu izravno u govornu poštu.

Budući da se svi vaši pozivi preusmjeravaju u pristiglu poštu glasovne pošte, pogodite tko čeka da vam skupi kôd za resetiranje? Tko drugi osim hakera koji sada ima pristup svim vašim porukama glasovne pošte.

Na primjer, haker koji vas lažno predstavlja može zatražiti tekstualnu poruku za resetiranje zaporke od WhatsAppa. Nakon malo odgađanja, WhatsApp-ovi sustavi će vam dati i mogućnost telefonskog poziva koji umjesto toga čita kôd.

Vidite kamo ovo ide? Ako se haker domogne ove automatizirane poruke, može vam resetirati lozinke bez vašeg znanja.

Stvar je u tome što, prema Vigo-u, čak ni dvofaktorna autentifikacija ne može vam pomoći od ovog scenarija.

Evo dokaza o konceptu

Na Vigovom demonstraciji DEF CON pokazao je kako njegova metoda funkcionira čak i za sigurne usluge poput PayPala.




Zapravo, PayPal ima sigurnosne mjere kojima se sprečavaju napadi glasovne pošte poput ove tako da se od korisnika traži da tijekom poziva upišu četveroznamenkasti kod. No, Vigo je to zaobišao pametnim postavljanjem čestitke govorne pošte na snimku tona tipkovnice od znamenke.

Koje su službe ranjive na ovaj napad?

'Poništavanje lozinke za PayPal, Instagram, Netflix, eBay, LinkedIn', rekao je Vigo svojoj publici. 'Autentifikacija za WhatsApp, Signal, Twilio, Google Voice.'

Evo Vigovih osnovnih koraka u izvođenju ovog napada:

1. Bruteforce sustav govorne pošte, u idealnom slučaju koristeći stražnje brojeve

2. Osigurajte da pozivi idu izravno na govornu poštu (poplava poziva, OSINT, HLR)

3. Pokrenite postupak resetiranja zaporke pomoću značajke 'Nazovi me'


amazonski besplatni poklon

4. Poslušajte snimljenu poruku koja sadrži tajni kod




5. Dobit!

Vigo planira uskoro objaviti izmijenjenu verziju svog koda na GitHubu kako bi istraživači bijelih šešira mogli proučiti i provjeriti da li to djeluje. Također je izvrnuo izvrtanje scenarija, tako da amateri (popularno poznati kao klinci na skriptu) ne mogu sami shvatiti skriptu i samostalno započeti s korištenjem ulaznih poštanskih sandučića.

Kako zaštititi svoje račune od ove hake

Da biste spriječili da vam se napad dogodi, preporučuje se da promijenite PIN na govornoj pošti na nešto što je duže i složenije. (Nikad ne koristite zadane kodove za bilo što.)




Zatim zaštitite svoj telefonski broj u svakom trenutku. Nemojte davati svoj broj mrežnim uslugama osim ako vam nisu potrebni za dvofaktorsku provjeru autentičnosti. Preporučljivo je da se na bilo koji drugi način prebacite na provjeru autentičnosti, poput Google Autentifikatora, umjesto na SMS-ove.

Kliknite ovdje i pogledajte kako su 2FA kodi temeljeni na SMS-u doveli do nedavnog krađe Reddita.

Druga je mogućnost potpuno isključiti govornu poštu, pogotovo ako je ne upotrebljavate. Ulazni spremnik govorne pošte ionako je ispunjen neželjenom poštu i robotskim pozivima. Nazovite vas samo ljudi ako ne možete odgovoriti na njihove pozive.

Za općenitije rješenje ove ranjivosti, Vigo traži od svih internetskih usluga da prestanu koristiti automatizirane telefonske pozive zbog sigurnosti i da telefonski operateri zahtijevaju od korisnika da promijene PIN kod ulazne pošte za glasovne pošte iz zadanog u nešto što je teže probiti.